Fortinet、FortiWebのCVE-2025-58034悪用を警告

Source:https://thehackernews.com/2025/11/fortinet-warns-of-new-fortiweb-cve-2025.html

🛡 概要

Fortinetは、FortiWebに存在する新たな脆弱性CVE-2025-58034（CVSS 6.7）が実際に悪用されていると警告しました。本欠陥はOSコマンドインジェクション（CWE-78）で、認証済みの攻撃者が細工したHTTPリクエストまたはCLIコマンドを用いて基盤OS上で不正なコード実行を行える可能性があります。修正は以下のバージョンで提供済みです：8.0.0〜8.0.1は8.0.2以降へ、7.6.0〜7.6.5は7.6.6以降へ、7.4.0〜7.4.10は7.4.11以降へ、7.2.0〜7.2.11は7.2.12以降へ、7.0.0〜7.0.11は7.0.12以降へ更新してください。発見はTrend MicroのJason McFadyen氏に帰属。なお数日前、FortinetはFortiWebの別の重大欠陥CVE-2025-64446（CVSS 9.1）を8.0.2で静かに修正したことも確認されています。CISAはCVE-2025-58034をKEVに追加し、米連邦民間機関に対し2025年11月25日までのパッチ適用を要請しています。

🔍 技術詳細

CVE-2025-58034は、OSコマンドに渡される特殊要素の不適切な無害化（CWE-78）に起因します。前提として攻撃者はFortiWebに対して何らかの手段で認証を得ている必要があります（例：正規アカウントの窃取、別の脆弱性との連鎖など）。そのうえで、管理系のHTTPエンドポイントやCLI操作に混入させたメタ文字やコマンド連結子を利用し、バックエンドでシェルが解釈可能な形に注入できると、任意のOSコマンド実行が成立します。これにより、FortiWebプロセス権限相当でのプロセス起動、ファイル操作、外部への接続などが可能となります。FortiWebは境界に配置されやすく、管理インタフェースがインターネット側に露出している場合や、VPN越しに広く到達可能な場合には、攻撃面が拡大します。成功時にはWAFの設定改ざん、ログの消去、リバースシェルの取得、内部ネットワークへの足掛かりなど、実運用への影響が現れ得ます。ベンダの告知どおり、攻撃成立には認証が必須であり、まずは認証情報の保護・無効化が重要です。本欠陥はすでに実利用下での悪用が確認されているため、迅速なアップグレードが最優先となります。

⚠ 影響

• WAF制御の乗っ取り：セキュリティポリシーの無効化、許可リストの改ざん、バイパスの恒常化。
• 機微データ流出：設定バックアップ、証明書・秘密鍵、認証情報の窃取。
• 横展開の起点：管理プレーンから内部セグメントへの踏み台化。
• 可用性低下：サービス停止、過検知/過遮断の誘発、インシデント対応コスト増。

関連するCVE-2025-64446（CVSS 9.1）は8.0.2で修正済みで、組織は併せて対処が必要です。

🛠 対策

1. 緊急パッチ適用：該当レンジのFortiWebを必ず安全版へ更新（8.0.2/7.6.6/7.4.11/7.2.12/7.0.12以上）。
2. 管理面の縮退運用：インターネット直結の管理UI/CLIを閉塞。必要時はジャンプサーバ/管理VPN＋IP許可制。
3. MFAと資格情報衛生：管理者アカウントにMFA必須、パスワード・APIキーのローテーションと最小権限化。
4. 監査・復旧準備：構成バックアップの取得と整合性確認、変更履歴の点検、証明書再発行の計画。
5. 監視強化：Syslog/監査ログの集中収集、異常コマンド・設定改変・外向き通信の検知ルール整備。
6. 露出資産の棚卸し：Shodan等での外部露出確認を含む資産管理を更新。

📌 SOC視点

• 認証・権限：短時間での連続ログイン、未知ASN/国からの管理ログイン試行、失敗後の成功（ブルートフォース/クレデンシャルスタッフィング示唆）。
• HTTP監査：管理系リクエストに「;」「|」「&&」「$()」「`」等のメタ文字を含むパラメータ、異常に長い値、想定外のエンコード。
• CLI監査：管理CLIの実行履歴でシェル起動や外部コマンド呼び出しの痕跡。
• プロセス/ネットワーク：アプライアンスから不審な外向き接続（未知C2、DNSトンネリング疑い）、異常な子プロセス生成。
• 構成改変：ポリシー無効化、例外ルール大量追加、証明書/鍵のダウンロード操作。
• EDRの限界：多くのネットワークアプライアンス上にEDRは導入不可。必ずFortiWebのSyslog/監査ログをSIEMへ転送し、NetFlow/PCAPで補完。

📈 MITRE ATT&CK

• TA0002 実行 / T1059（Command and Scripting Interpreter）：OSコマンドインジェクションによりシェル経由のコマンド実行が可能（ベンダ記述に合致）。
• TA0001 初期アクセス / T1078（Valid Accounts）：攻撃成立には認証済みであることが条件。盗用/不正入手アカウントの利用が前提となり得る。
• （状況次第）TA0001 初期アクセス / T1190（Exploit Public-Facing Application）：管理面が外部公開されている場合、公開アプリの脆弱性悪用の様態に該当し得る。
• TA0008 横展開 / T1021（Remote Services）：取得したシェルから内部サービスへの横移動が可能となる恐れ。

🏢 組織規模別助言

• 小規模（〜50名）：即時アップグレードと管理面の閉塞を最優先。MFA導入、IP許可制。外部MSPにログ監視を委託して早期検知を確保。
• 中規模（50〜500名）：ステージングでの検証後に本番適用。変更凍結期間を短縮し、CABの迅速承認プロセスを用意。SIEMに専用検知ルールを追加。
• 大規模（500名以上）：資産管理CMDBと連携し対象機器を一括抽出、段階的ロールアウト（カナリア）と自動ロールバック手順を整備。レッドチームによる管理平面露出評価を実施。

🔎 類似事例

• CVE-2025-64446（FortiWeb、CVSS 9.1、8.0.2で修正）
• CVE-2020-5902（F5 BIG-IP TMUI RCE）：管理UI経由の任意コード実行
• CVE-2019-19781（Citrix ADC/Gateway）：境界機器のリモートコード実行
• CVE-2023-27997（FortiOS/FortiProxy）：Fortinet製境界機器に対する広範な悪用例

🧭 次の一手

1. 自組織のFortiWebバージョンを即時棚卸しし、該当範囲を安全版へ更新。
2. 管理平面の露出チェック（外部公開遮断、MFA、IP許可制）。
3. SIEMに「メタ文字含有の管理リクエスト」「不審なCLI履歴」「外向きC2風通信」の検知ルールを追加。
4. KEV監視を運用に組み込み、PSIRTアラート購読を有効化。
5. 証明書・秘密鍵・管理者パスワードのローテーション計画を実行。

CVSS：CVE-2025-58034（6.7）、CVE-2025-64446（9.1）。CISAの期限（2025-11-25）前に対応を完了してください。